Come funziona
La maggior parte dei malware basati su applicazioni e file inizia come un file che viene scritto sul disco. Quando il file viene eseguito, una copia viene caricata nella memoria e i comandi del programma vengono eseguiti. Il malware senza file salta il passaggio della scrittura su disco, esistendo solo in memoria.
Alcuni dei modi in cui questo può essere realizzato includono:
- Vivere in modo autonomo: Molte delle azioni eseguite dal malware possono essere realizzate con le funzionalità legittime del sistema. Il malware senza file utilizza comunemente PowerShell per accedere alle funzioni API integrate di Windows che normalmente verrebbero utilizzate in un file eseguibile dannoso.
- Documenti dannosi: Un documento di Microsoft Office può includere macro dannose che utilizzano PowerShell per eseguire comandi. Questo potrebbe includere il download e l'esecuzione di malware aggiuntivo senza scriverlo sul disco.
- Sfruttamento della vulnerabilità: Un'applicazione può contenere un buffer overflow o un'altra vulnerabilità di esecuzione di codice da remoto (RCE). Sfruttando questa vulnerabilità, un aggressore può eseguire comandi dannosi all'interno del processo vulnerabile senza scrivere nulla su disco.
- Hijacking del processo: Una volta che un file viene caricato in memoria, il suo spazio di memoria può essere modificato. Il malware può scrivere codice nello spazio di memoria di un processo esistente e lanciare la sua funzionalità dannosa all'interno di tale processo.
- malware basato sul registro: il registro di Windows contiene le informazioni di configurazione di Windows OS, compresi gli autorun. Il malware senza file può definire un autorun che lancia il codice maligno tramite LoLBins all'avvio del sistema o quando un utente effettua il login.
Cosa può fare il malware senza file?
Il malware senza file può fare tutto ciò che può fare una variante di malware tradizionale, basata su file. Questo include l'agire come infostealer, ransomware, toolkit di accesso remoto (RAT) e cryptominer.
La differenza principale tra il malware senza file e il malware basato su file è il modo in cui implementano il loro codice maligno. Il malware senza file di solito si affida maggiormente alle caratteristiche integrate del sistema operativo, piuttosto che implementare la funzionalità dannosa in un eseguibile autonomo.
Fasi di un attacco Fileless
Un attacco malware senza file è molto simile a un attacco malware basato su file. Alcune delle fasi chiave includono:
- Accesso iniziale: Il malware ha bisogno di un mezzo per accedere ai sistemi di un'organizzazione. Il malware senza file può fornire un documento dannoso tramite phishing o sfruttare un'applicazione web vulnerabile.
- Esecuzione: Il malware senza file può ottenere l'esecuzione di codice attraverso vari mezzi. Ad esempio, un documento dannoso può utilizzare l'ingegneria sociale per indurre il destinatario ad abilitare le macro, consentendo alle macro dannose di eseguire comandi PowerShell.
- Persistenza: Una volta che il malware ottiene l'accesso a un sistema target, vuole mantenere tale accesso. L'aggiunta di chiavi di autorun al Registro di Windows è un mezzo comune per ottenere la persistenza e può essere realizzata senza scrivere codice su disco.
- Obiettivi: Il malware è progettato per svolgere un compito. Il malware senza file può tentare di rubare le credenziali, criptare i file, scaricare malware aggiuntivo o eseguire altre attività dannose.
Rilevare e proteggere dagli attacchi malware senza file
Il malware senza file è progettato per essere più difficile da rilevare rispetto alle varianti di malware tradizionali, basate sui file. Il motivo è che alcune soluzioni Endpoint Security si concentrano sulla scansione dei file presenti nel sistema e non ispezionano i processi in esecuzione attiva alla ricerca di codice maligno o attività anomale.
Tuttavia, più difficile da rilevare non significa non rilevabile. Alcuni dei modi in cui un'organizzazione può proteggersi dagli attacchi malware senza file includono:
- Funzionalità di blocco: Il malware senza file spesso "vive sul territorio", utilizzando le funzionalità integrate per raggiungere i suoi obiettivi. Disattivare o monitorare le applicazioni ad alto rischio - come PowerShell - può aiutare a prevenire e rilevare gli attacchi malware senza file.
- Gestire le macro: Le macro di Microsoft Office sono un metodo comune per il malware senza file per ottenere l'accesso iniziale e l'esecuzione. Disattivare le macro può aiutare a bloccare questo vettore di infezione.
- Patch di vulnerabilità: gli aggressori possono sfruttare vulnerabilità come i buffer overflow per eseguire codice all'interno di applicazioni vulnerabili. L'applicazione delle patch e l'implementazione del patching virtuale con un Intrusion Prevention System (IPS) limita il rischio di sfruttamento delle vulnerabilità.
- Autenticazione sicura: I criminali informatici utilizzano sempre più spesso credenziali compromesse e soluzioni di accesso remoto, come RDP, per distribuire ed eseguire malware. L'implementazione dell'autenticazione a più fattori (MFA) e di una politica di sicurezza a fiducia zero può limitare l'impatto potenziale di un account compromesso.
La suite Harmony e la piattaforma XDR di Check Point
Il malware senza file è una delle numerose minacce che le organizzazioni devono affrontare. Per saperne di più sull'attuale panorama delle minacce informatiche, consulti il Report 2022 Mid-Year cyber attack Trends di Check Point.
Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.
Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.